他の多くのハッキングと同様に、Uber の主要なセキュリティ侵害はテキスト メッセージから始まりました。 ハッカー容疑者から提供された詳細を引用して、 ニューヨークタイムズ 報告 偽のテキスト メッセージが Uber の従業員をだましてパスワードの詳細を明らかにさせ、ライドシェアリング会社の IT システムの大規模な侵害につながる一連のイベントを引き起こした.
Uber のリソースを備えた企業であっても、この種のソーシャル エンジニアリングの脅威を完全に防御することは不可能です。 会社のパスワード ポリシーがどれほど優れているか、機密情報が適切に保存または暗号化されているかどうか、さらには多要素認証が使用されているかどうかは問題ではありません。正面玄関。
ソーシャル エンジニアリングは、この種の攻撃を総称する用語です。慎重に調整されたフィッシング キャンペーンやその他の心理的トリックを使用して、ターゲットをだまして機密情報を開示させるさまざまな手法です。 その中で 四半期ごとの脅威レポート 2022 年第 2 四半期について、エンタープライズ サイバーセキュリティ プロバイダーの ZeroFox は、「ソーシャル エンジニアリングは、第 2 四半期に最も頻繁に報告された侵入戦術の 1 つであり続けており、これは近い将来もほぼ確実に続くだろう」と評価しています。 大企業にとって、人間はだまされやすいという単純な理由から、これは防御が最も困難な攻撃の 1 つです。
メール セキュリティ プロバイダーの Tessian の CISO である Josh Yavor 氏も同意見です。 「ソーシャル エンジニアリングは、企業が侵害の犠牲者になる主な方法であり、攻撃者はそれが機能することを知っています」と Yavor 氏は述べています。
この場合、攻撃者はソーシャル エンジニアリング技術を使用して、正しいユーザー名とパスワードを使用しても、通常は不正ログインを防止する多要素認証プロセスを回避できました。
スクリーンショット 共有 ハッカーとの会話から、攻撃がどのように展開されたかがある程度わかります。 ハッカーは、従業員のパスワードを取得した後、認証アプリでプッシュ通知を繰り返しトリガーしたと主張し、その後、Uber の IT 部門からのものであると主張する WhatsApp メッセージを従業員に送信して、ログイン試行が正当であることを確認するように指示しました。
これにより、VPN へのアクセスが可能になり、そこから Uber の企業イントラネットに接続し、そこからネットワークをスキャンして、VPN 外部の接続からはアクセスできない機密ファイルやアプリケーションを探しました。 PowerShell スクリプト (Windows マシンでタスクを自動化するために使用される) で、彼らは Thycotic にログインするための管理者パスワードを見つけたと報告されています。Thycotic は、会社が使用する他のソフトウェアへのアクセスを制御する特権アクセス管理 (PAM) ツールです。
「これを使用して、すべてのサービスの秘密を抽出することができました」と、ハッカーは Telegram メッセージに書いています。
企業に適切な準備をさせることは大きな課題です。ほとんどのバグ報奨金制度からソーシャル エンジニアリングが除外されているため、さらに困難になっています。 ソーシャル エンジニアリング攻撃は、システムに侵入する方法を開示することでハッカーに金銭的報酬を提供するこれらのスキームでカバーされることはめったにありません。 これは、ソーシャル エンジニアリングを宣言した Uber の場合に特に当てはまりました。範囲外独自のバグ報奨金プログラム — ハッカーが公開前にエクスプロイトの詳細を Uber と共有するインセンティブ (少なくとも、金銭的インセンティブ) を提供しません。
ソーシャル エンジニアリングの評価を提供するサイバーセキュリティ企業 Snowfensive の社長である JC Carruthers 氏は、次のように述べています。 ザ・バージ ソーシャル エンジニアリング攻撃をバグ報奨金プログラムから除外することは標準的な手順であり、そうしないと、攻撃者が従業員を標的にする動機を与えることになります。
「標的は IP アドレスやエンドポイントではなく、人間です」と Carruthers 氏は言います。 「組織の観点から言えば、彼らは賞金稼ぎに、法的な権限がないか、倫理的な懸念がある可能性のある人をテストすることを許可しています。」
倫理的な課題よりもさらに根深いのは、問題を効果的に解決することの難しさです。 ソフトウェアの脆弱性は、公開されればパッチを当てることができますが、企業の従業員が特定の種類の要求によってだまされる可能性があることを知っていると、セキュリティ担当者は問題を解決するための選択肢がほとんどなくなります。
「組織がソーシャル エンジニアリングをバグ報奨金プログラムに含めない最大の理由は、ソーシャル エンジニアリング攻撃が機能することを知っているからです」と Carruthers 氏は述べています。
「ターゲットは IP アドレスやエンドポイントではなく、人間です。」
一般に、企業は「レッド チーム」を使用して、このような攻撃に対してスタッフを準備しようとします。セキュリティ会社を雇って、フィッシング メール、テキスト メッセージ、またはその他の同様の戦術で従業員のシステムを侵害し、改善方法に関するレポートを提供します。 これは間違いなくセキュリティを向上させる戦略ですが、倫理的な制約により、現実世界のソーシャル エンジニアリング ハッキングの巧妙さと持続性をエミュレートできない可能性があります。
防止に関する限り、従業員の認証は、アプリベースの通知ではなく物理的なセキュリティ キーによるログオンを要求することによっても改善できます。 Cloudflare が最近 巧妙なフィッシング詐欺の標的にされた ハードウェア トークン認証の使用により、影響を最小限に抑えることができました。 Uber への攻撃の場合、標的となった従業員がセキュリティ キーを持っていた場合、ハッカーはキーまたは従業員のマシンに物理的にアクセスしなければ VPN システムを侵害できなかったでしょう。
しかし、究極的には、ソーシャル エンジニアリングの多様性は、脅威を完全に排除することは不可能であることを意味します。
「攻撃ベクトルが本質的に人間である場合、単純にパッチを当てることはできません」と Carruthers 氏は言います。